Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Presentado Por:
Las aplicaciones web son herramientas esenciales para las empresas, pero también son
susceptibles a diversos tipos de vulnerabilidades que pueden afectar su seguridad y
confiabilidad. Estas vulnerabilidades pueden ser explotadas por atacantes para obtener acceso
no autorizado a la aplicación, robar datos sensibles o incluso inhabilitarla por completo.
Las vulnerabilidades en aplicaciones web son debilidades o errores en el código o la
configuración de la aplicación que pueden ser explotados por atacantes.
TALLER
SOLUCIÓN
Descripción: Se escribe una cantidad excesiva de datos en un búffer, lo que puede permitir la
ejecución de código arbitrario.
Mecanismo de explotación:
El atacante envía una cadena larga a un campo de entrada que no está validado.
El atacante explota una vulnerabilidad en el software que utiliza la aplicación web.
Ejemplo real de ataque:
6. Inyección de código:
Descripción:
La inyección de código es una vulnerabilidad que permite a un atacante inyectar código
malicioso en una aplicación web. Este código puede ser ejecutado por la aplicación, lo que
puede permitir al atacante obtener acceso no autorizado a la aplicación, robar datos sensibles
o incluso inhabilitarla por completo.
Mecanismo de explotación:
La inyección de código puede ocurrir de diversas maneras, incluyendo:
Inyección de SQL: El atacante inyecta un comando SQL en un campo de entrada que no está
validado. Este comando puede ser utilizado para acceder a la base de datos de la aplicación
web y robar datos sensibles.
Inyección de código PHP: El atacante inyecta código PHP en un formulario de carga de
archivos. Este código puede ser ejecutado por el servidor web cuando se carga el archivo, lo
que puede permitir al atacante obtener acceso no autorizado al servidor.
Inyección de JavaScript: El atacante inyecta código JavaScript en una página web que es
visitada por el usuario. Este código puede ser ejecutado por el navegador del usuario, lo que
puede permitir al atacante robar información del usuario o redirigirlo a un sitio web
malicioso.
Ejemplo real de ataque:
En 2013, la empresa Target sufrió un ataque de inyección de SQL que le costó millones de
dólares. El ataque se produjo cuando un atacante inyectó un comando SQL en un campo de
búsqueda del sitio web de Target. Este comando permitió al atacante acceder a la base de
datos de la empresa y robar información personal de millones de clientes.
8. Almacenamiento inseguro:
Descripción: Las contraseñas y otros datos sensibles son almacenados de forma insegura.
Mecanismo de explotación:
El atacante obtiene acceso a la base de datos de la aplicación web y roba las contraseñas
almacenadas.
El atacante explota una vulnerabilidad en el software que utiliza la aplicación web para
obtener acceso a los datos almacenados.
Ejemplo real de ataque:
Robo de contraseñas de la base de datos de una empresa.
Medidas de mitigación:
Almacenar las contraseñas y otros datos sensibles utilizando un algoritmo de hash seguro.
Implementar un sistema de gestión de claves para proteger las claves de cifrado.
Limitar el acceso a los datos sensibles a los usuarios que lo necesitan.
9. Denegación de servicio:
Bernabé Durán, A. (2015). Acceso a datos en aplicaciones web del entorno servidor:
desarrollo de aplicaciones con tecnologías web (UF1845): ( ed.). IC Editorial.
https://elibro-net.proxy.bidig.areandina.edu.co/es/lc/areandina/titulos/44133
Ortega Candel, J. M. (2018). Seguridad en aplicaciones Web Java: ( ed.). RA-MA Editorial.
https://elibro-net.proxy.bidig.areandina.edu.co/es/lc/areandina/titulos/106511